在安全層面,企業如何得到更好的投資回報率 ROI?

前言

任何企業對投資都有回報的要求,回報多是直接的「利潤」,達到短時間、長期的目標,或者經過投資減小損失。所以每一個項目的決策者在每筆投資前都要衡量 ROI,證實該投資能達到的效果和收益,以便在項目結束時能夠考覈和衡量項目是否成功。安全

同時經過 ROI 的分析爲下一筆預算請求,提供支持性的證據。不過信息安全投資的 ROI 分析,對每一個決策者都是很艱難的事情。由於安全投資對大多數企業來講,並不能帶來很是直接的收益和利潤。服務器

本文主要目的就是和決策者進行討論,但願經過一些簡單的工具和最佳實踐,簡化 ROI 評估,爲決策者在進行信息安全投資時,提供一些決策依據。固然如今信息系統多種多樣,各類軟件和系統差別性很是大,單一經過簡單的工具沒法覆蓋全部的可能性,但筆者相信這是一個很是有益的探索。網絡

基本概念介紹

ROI:在任何企業或者我的投資,都是經過項目結束後對投資的效果和收益進行評估投資效果,在金融上來說叫作投資回報率(ROI)。ROI 一般是經過以下的公式來計算的: ROI = (收入- 投資總額) / 投資總額×100%。框架

舉個例子,張三負責投資項目,他和老闆申請了2000元的啓動資金,張三和老闆約定收入五五分紅,項目結束後總共收入10000元,老闆獲得5000元,投資回報率計算以下 (5000 - 2000) / 2000 = 150%函數

安全投資回報率(ROSI):ROI 適用於全部投資,安全投資也不例外,安全投資決策者也須要知道信息安全投資的底線在哪裏,哪些地方進行安全投資是收益最高的,哪些安全產品是投資回報率最高的。在信息安全投資領域,ROSI 能給決策者提供定量的指標:工具

  • 是否對信息安全投資過分,形成浪費性能

  • 信息安全缺少是否會對企業收益形成影響測試

  • 安全投資到什麼程度就夠了網站

  • 什麼安全產品或者方案對企業有利spa

安全投資的一些困惑:傳統的投資回報率計算方式並不十分適合信息安全投資,安全投資並不能帶來利潤,它一般是防止公司財產損失,換句話說就是投資安全不要指望有利潤回報。所以計算信息安全投資回報率應該計算經過安全投資避免了多少損失。

在安全層面,企業如何得到更好的投資回報率 ROI?

安全成本效益示意圖

ROSI 計算方法論

所以計算 ROSI 首先要可以評估一項安全投資能避免什麼樣潛在的安全風險(風險評估),而後根據定量的方法將這些風險帶來的損失,轉換成能夠衡量的貨幣價值。

風險評估的基本概念

任何評估都是將大的任務分紅能夠度量的小單元,風險評估也是如此,安全風險能夠分紅如下幾個部分:

  • 單一預期損失(SLE):就是一項網絡攻擊發生時預期會形成的損失,這裏單指這項攻擊發生一次產生的損失。網絡威脅的特殊性,在計算損失時相對比較複雜,好比一臺筆記本丟了,無論要計算筆記本的價值,還應該加上購買成本,IT 支持,生產力的損失,聲譽,知識產權損失等等。

網絡攻擊事件的總成本應包括直接損失的成本(網站停機時間、硬件更換、數據丟失更換等)和間接損失成本(調查時間、聲譽損失、對圖像的影響等)

關於如何計算網絡攻擊對企業的具體損失,沒有統一的標準,具體的計算取決於企業的經營目標、文化價值觀和現有的安全措施等。仍是用被偷的筆記原本說,對普通公司普通員工沒有什麼機密在裏面,損失也就是買機器的4000塊錢,但對於保密單位的電腦就可能損失一萬塊,甚至若是是知識產權,核心機密損失就無可估量。雖然計算損失的方式依賴的條件多種多樣,可是統一的計算方式仍是很是重要的。

  • 網絡威脅在一年中發生的機率(ARO):就是某種網絡威脅在一年中可能發生的機率和次數,這種評估也是根據具體的網絡環境和安全保護措施,也是根據經驗得出的一個估計得值。

例如洪水發生的機率是根據當地的地質條件和降水狀況而定的。安全威脅發生的機率也是根據企業的成熟度,人員的安全意識和技能以及安全防禦工具的完備性決定的決定的,好比軟件提供商經過嚴格的安全檢驗和測試,漏洞不多,那麼漏洞攻擊發生的機率就小不少。再好比企業在每臺機器裝上最新反病毒軟件,那麼被病毒感染的概率就小不少。

  • 每一年網絡攻擊形成的損失(ALE):就是指特定的網絡攻擊在一年裏可能給公司或者組織形成的潛在損失,計算公式:ALE = ARO * SLE

ROSI 計算

ROSI 主要是綜合定量預估的風險損失和部署安全措施的花銷。在最後比較ALE和實際經過部署安全措施挽回的損失,根據 ROI,ROSI 的計算公式以下:ROSI = (減小的損失 - 安全措施的花銷) / 安全措施的花銷。

使用有效的安全措施能夠有效的減低 ALE:安全措施越得力,ALE 下降的越多,咱們實際的收益就越高,實際的收益就是不使用安全措施的 ALE 和使用安全措施之後的 ALE(用 mALE 表示)之差。ROSI 公式能夠改成: ROSI = (ALE - mALE - 安全措施的花銷) / 安全措施的花銷

還能夠經過緩解率來計算,緩解率就是實施某個安全措施後減小攻擊的比例,ROSI 公式能夠表示爲:ROSI = (ALE * 緩解率 - 安全措施的花銷) / 安全措施的花銷

舉個例子:A 公司正在考慮投資一個防病毒解決方案。每一年該公司遭受5個病毒攻擊(ARO = 5)。該組織估計,在數據和生產力損失的成本每攻擊約15000元(SLE = 15000)。實施防病毒解決方案預計將減小80%的攻擊(緩解率= 80%),實施成本25000(每一年受權費1500 + 10000培訓、安裝、維護等)。

該解決方案的安全投資回報,能夠經過計算以下:(5 15000) 0.8 - 25000 / 25000 = 140%
根據 ROSI 公式計算,這個反病毒解決方案是一個收益率很是不錯的解決方案。

總結: ROSI 的計算是基於3個變量:估計潛在損失(ALE),估計風險緩解,和解決方案的實施成本。若是解決方案的成本比較容易預測,全部間接成本都考慮進來,其餘兩個變量也預估的比較正確,這樣 ROSI 就比較好算了。

對 WAF(Web應用防火牆)和 RASP(運行時應用安全自我防禦)進行 ROSI 分析

在安全層面,企業如何得到更好的投資回報率?

根據 Gartner 的分析,80%的攻擊都是發生在應用層,應用層安全防禦是當前的熱點。目前應用安全主要有 WAF 和 RASP 兩種解決方案,WAF 是比較成熟的解決方案,RASP 是最近兩年出現的新技術,首先對兩種技術的特色作簡單的介紹,而後從 ROSI 的角度對兩種解決方案進行評估。

  • WAF 設置在 Web 應用程序的前方,提早截獲發往 Web 應用程序的全部用戶請求,並根據預約義規則對其進行評估,查看其輸入內容是否可能攻擊應用程序。

要實現這個過程須要進行很是繁瑣的配置,並且一般 WAF 會設置「失效開放」開關以免在高負荷狀況下形成大量的誤殺以及對性能的過大影響 WAF 轉入「失效開放」狀態後會放行全部通訊流量,再也不進行監測,固然也再也不爲 Web 應用程序提供保護,而這正是 Web 應用程序最須要保護的時候。爲使 WAF 在高負荷狀況下也能正常工做,須要深刻了解 Web 應用程序的哪些輸入中存在漏洞,這樣才能爲這些輸入字段採起合適的保護措施。

  • RASP 技術的實現方式則徹底不一樣,它將框架與底層代碼庫集成在一塊兒,從源代碼級別爲應用程序中易受攻擊的區域提供保護。當客戶端發出一個函數調用,而調用中的參數可能會傷害 Web 應用程序時, RASP 會在運行時截取該調用,而後根據具體配置,對該次調用進行記錄或阻止。這種保護方法與 WAF 有着本質的區別。

首先考慮成本

根據 WAF 的特色一個企業通常最少須要一臺,根據網上價格:1000M 大概在20萬左右,一臺機器估計能用5年。WAF 配置複雜,專業的管理員大概一年費用在10萬(兼職)。 加上每一年的服務費,使用 WAF 最低一年20萬人民幣。

RASP 如今公開報價的 HP 和 OneRASP 一個探針大概一個月800月,一箇中型企業大概有20臺服務器折後大概在10萬元左右,而 RASP 沒有複雜的配置由IT管理員兼任就能夠,RASP 成本大概是10萬元每一年。

能減小的損失

WAF 和 RASP 均可以抵禦 Web 網絡攻擊,RASP 具有 WAF 沒有的特色,除了 Web 應用程序還能夠保護應用程序,不可繞過,沒有防護盲點等。因此二者的 ALE 和緩解率基本相同,RASP 略高。

ROSI計算結果

根據 ROSI 計算公式: ROSI = (ALE * 緩解率 - 安全措施的花銷) / 安全措施的花銷, 在ALE和緩解率基本相等的狀況下,RASP 的投資回報率要遠高於 WAF。企業安全決策者在選擇應用安全防禦時不妨考慮一下 RASP,尤爲是在安全方面預算有限的企業。RASP 雖然產品化時間較短,但這幾年成長速度很是快,在國外 Waratek 和 HP 比較有名,國內如今有 OneRASP

固然在預算比較充裕的狀況下,最理想的選擇是將 WAF 和 RASP 結合起來使用。對於中小企業來講,RASP 是投資回報率比較高的選擇。

相關文章
相關標籤/搜索